Continuous auditing voor het MKB Onderzoek naar haalbaarheid van continuous auditing voor grote MKB-ondernemingen

Continuous auditing voor het MKB

Onderzoek naar haalbaarheid van continuous auditing voor grote MKB-ondernemingen

Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde Master´s Thesis Accountancy & Controlling Naam C. F. Weisz

Student 1882929 Begeleider dr. O.P.G. Bik Datum 3 augustus 2011

Inhoudsopgave

Samenvatting 3

Inleiding 4

Hoofdstuk 1 Onderzoeksopzet

1.1 Aanleiding tot het onderzoek 5

1.2 Nut van continuous auditing 6

1.3 Onderzoeksdoel en probleemstelling 6

1.4 Afbakening onderzoek 7

1.5 Onderzoeksmethode 7

1.6 Indeling verslag 8

Hoofdstuk 2 Continuous auditing

2.1 Definitie 9

2.2 Voordelen 10

2.3 Ontwikkeling van een methodologie 12 2.4 Verschillen met traditionele controle 14

2.5 Raamwerk 15

2.6 Samenvatting 26

Hoofdstuk 3 Randvoorwaarden voor grote MKB-ondernemingen

3.1 Onderzoeksdoel 27

3.2 Definitie grote MKB-onderneming 27 3.3 Continuous auditing bij grote MKB-ondernemingen 28

3.4 Hypothese 29

3.5 Samenvatting 32

Hoofdstuk 4 Onderzoek grote MKB-onderneming

4.1 Ontwerp onderzoek 33

4.2 Organisatiebeschrijving 35

4.3 Uitvoering en beperkingen van het onderzoek 36

4.4 Automatisering 37 4.5 Bedrijfsprocessen 39 4.6 ERM 41 4.7 IT-functie 42 4.8 Accountant 43 4.9 Samenvatting 43

Hoofdstuk 5 Analyse van de resultaten

5.1 Analysemethode 44

5.2 Beoordeling randvoorwaarden 44

5.3 Discussie 47

5.4 Samenvatting 47

Hoofdstuk 6 Conclusie en aanbevelingen

6.1 Conclusie case 48 6.2 Toetsing hypothese 48 6.3 Aanbevelingen 50 6.4 Samenvatting 50 Literatuurlijst 51 Bijlagen 52

Samenvatting

Bij continuous auditing is de interne en externe controle geautomatiseerd en worden controles real-time uitgevoerd. De controles worden vooraf bepaald en zijn in het IT-systeem geprogrammeerd of aan het IT-systeem gekoppeld. Omdat er gebruik wordt gemaakt een IT-systeem en er gesteund wordt op de techniek, is er minder ruimte voor subjectiviteit van het management of de externe accountant. Dit stelt aanvullende voorwaarden aan het IT-systeem, de gebruikers binnen de organisatie en de controle-aanpak van de externe accountant. Onderzocht is in hoeverre toepassing van continuous auditing mogelijk is voor een grote MKB-onderneming, als alternatief voor de huidige wijze van controleren. Voor dit onderzoek zijn op basis van de literatuur voorwaarden beschreven die verplicht aanwezig moeten zijn om continuous auditing toe te passen. Middels een case study zijn deze voorwaarden getoetst bij een groot productiebedrijf in het zuiden van het land en haar accountant.

Uit het onderzoek blijkt dat continuous auditing wel technisch en organisatorisch toe te passen is, maar bedrijfseconomisch niet haalbaar is. De kosten om het IT-systeem geschikt te maken voor continuous auditing zijn te hoog; er moet extra software worden

Inleiding

De CFO loopt zijn kamer in en activeert zijn tablet-pc. Op zijn scherm ziet hij dat alle

werknemers zich aangemeld hebben. Een is ziek, twee waren te laat. De avond ervoor zijn er 53 overuren gemaakt. Van de productieorders zijn er twee na drie weken nog niet opgestart: één omdat de bestelde grondstoffen nog niet binnen zijn, één omdat de aanbetaling nog steeds niet binnen is. De solvabiliteit van de onderneming staat op 41%.

De accountant ontvangt een email op zijn smartphone. Het is een automatische gegenereerd bericht verzonden door een mailserver vanuit de onderneming van een cliënt. Het bericht meldt dat er forse memoriaalboekingen zijn gemaakt in de omzetrubriek op 31 december. Continuous auditing is een wezenlijk andere manier van controleren dan de huidige wijze. Het is een proces waarbij op geautomatiseerde wijze controles worden uitgevoerd op de transactiestromen en bedrijfsprocessen worden geanalyseerd. Fouten worden meteen herkend, betrouwbare informatie is altijd overal en beschikbaar. Zowel de interne als de externe accountant kan meteen actie ondernemen als het systeem iets opvallend signaleert. Sneller oplossen van problemen scheelt tijd en kosten. Bovendien heeft het een preventieve werking en hoeft er geen tijd besteed te worden aan schakels in de bedrijfsprocessen die goed gaan. En het verschaft zekerheid dat doelen van de onderneming gehaald worden. Deze geautomatiseerde manier van controleren krijgt steeds meer belangstelling als gevolg van vraag om een betere interne beheersing, ontwikkelingen in de informatietechnologie (IT) en een economische noodzaak om meer effectiviteit en efficiency in de bedrijfsprocessen te verkrijgen, alsmede om de accountantskosten omlaag te krijgen. Na de invoering van SOx en de diverse boekhoudschandalen aan het einde van de vorige eeuw, heeft ook de financiële crisis van 2008 opnieuw de aandacht gevraagd voor deze manier van controleren. Maar aandacht alleen is niet genoeg. Net als over XBRL is er genoeg over gepubliceerd, maar loopt de praktijk achter. De ‘traditionele controle’ overheerst in de controlepraktijk bij

accountantsorganisaties en continuous auditing lijkt vooralsnog voorbehouden aan grote beursgenoteerde ondernemingen als Heineken en Binckbank1.

Kunnen accountants van MKB-ondernemingen continuous auditing ook toepassen in het controleproces? Voor mijn Master’s Thesis heb ik onderzocht in hoeverre toepassing van continuous auditing mogelijk is voor een grote MKB-onderneming, als alternatief voor de huidige wijze van controleren. Wanneer dit mogelijk is, betekent het dat deze

controletechniek op grotere schaal toe te passen is dan nu het geval is. Dit perspectief biedt zowel de onderneming als de accountant meer effectiviteit en efficiency in de controle en zekerheid over de uitkomsten.

1

Vinger aan de pols, A. van Dijken, CFO maart-april 2008, p. 60-62. Continuous auditing en de (veranderde) rol van de IAD, B.F. van Meegeren, Audit Magazine, dec. 2008, p. 8

Hoofdstuk 1 Onderzoeksopzet

In dit hoofdstuk wordt uiteen gezet hoe het onderzoek tot stand is gekomen en wat de relevantie ervan is.

1.1 Aanleiding voor het onderzoek

Over continuous auditing (hierna: CA) is met name door Amerikaanse auteurs het nodige geschreven. Auteurs als M.G. Alles, M.A. Vasarhelyi en Z. Rezaee volgen de ontwikkelingen en publiceren er met regelmaat over2. In veel artikelen echter blijft het een theoretisch model. Enkele auteurs hebben het model niet alleen uitgeschreven maar ook vertaald in concrete toepassingen. Het gaat hier dan om grote Amerikaanse ondernemingen. CA wordt in de praktijk toegepast, zij het nog op beperkte schaal. Ondernemingen waarbij CA wordt toegepast zijn beursgenoteerde bedrijven als AT&T, Siemens, HCA Healthcare, de

Braziliaanse bank Itau Unibanco, IBM, HP, verzekeringsmaatschappij MetLife, Proctor & Gamble3, Heineken4 en Binckbank5. Enkele grote Amerikaanse accountantsorganisaties (de zogenaamde ‘Big Four’) maken reclame met CA. Zij bedienen vooral beursgenoteerde bedrijven. KPMG heeft in 2008 onderzocht hoe ondernemingen tegenover CA staan. De respondenten (CFO’s , CRO’s, interne accountants) vertegenwoordigen 60% van de

Nederlandse organisaties met een omzet van meer dan een miljard euro. Uit dit onderzoek blijkt dat slechts 3%van onderzochte ondernemingen reeds CA heeft ingevoerd6 .

In 1999 hebben de Canadese en Amerikaanse beroepsorganisaties voor accountants, CICA en AICPA, onderzoek gedaan naar CA. Zij brachten gezamenlijk een onderzoeksrapport uit. Zij formuleerden drie conclusie die naar mijn idee nog steeds actueel zijn7:

1. CA als nieuwe controle-aanpak is haalbaar;

2. Onderzoek en experimenten zijn nodig om CA verder te ontwikkelingen;

3. De vraag naar betrouwbaardere, relevante en tijdige informatie zal de vraag doen toenemen naar CA, maar vooral de accountant zal zich moeten herpositioneren op de markt;

Het succes van CA zal in de toekomst voornamelijk afhangen van de bereidheid van ondernemingen en accountants om CA te willen implementeren (conclusie 2 en 3). Dit onderzoek gaat verder in op de eerste conclusie, namelijk dat CA mogelijk ook toegepast kan worden bij MKB-ondernemingen. MKB-ondernemingen kunnen hiermee tijd en geld

besparen, omdat CA een groot deel van de interne controle en accountantscontrole automatiseert.

Dit onderzoeksverslag richt zich op grote MKB-ondernemingen: voor dergelijke

ondernemingen zal het nog moeilijk zijn om een vorm van CA te implementeren. Voor zover bekend zijn er geen voorbeelden van MKB-ondernemingen die CA hebben toegepast. Voordelen als tijd – en kostenbesparing blijven daarmee liggen. Als blijkt dat CA mogelijk is

2 _{Zie literatuurlijst achterin voor de belangrijkste artikelen van hun hand. Tevens wordt in de} voetnoten naar andere publicaties van hen verwezen.

3

Innovation and practice of continuous auditing, p. 3. 4

Vinger aan de pols, A. van Dijken, CFO maart-april 2008, p. 60-62. 5

Continuous auditing en de (veranderde) rol van de IAD, B.F. van Meegeren, Audit Magazine, dec. 2008, p. 8. 6 http://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Documents/PDF/ Risk%20and%20Compliance/Continuous_Auditing_en_Continuous_Monitoring.pdf, beschikbaar op 3 maart 2011 7

voor grote MKB-ondernemingen, vergroot dit de mogelijkheden van de controleaanpak van controlerende accountants van middelgrote accountantsorganisaties en de interne controle van MKB-ondernemingen.

1.2 Nut van continuous auditing

CA is een nieuwe stap in accountantscontrole waarbij het IT-systeem zowel het middel als het object van onderzoek is. De belangrijkste voordelen zijn tijdwinst, betere beheersing van bedrijfsrisico’s en betere controle-informatie8. CA is tijdbesparend, want met CA heeft zowel de onderneming als de accountant altijd en overal directe toegang tot het systeem en is betrouwbare informatie overal en direct beschikbaar. Voor de accountant voorkomt of vermindert het een hoop verspilling in de controle: minder wachten, vertraging, inwerken, nakijken, fouten en minder risico9. Bovendien levert het kwalitatief beter controlebewijs op tegen minder inspanning, bijvoorbeeld omdat hele populaties van transacties gecontroleerd worden in plaats van deelwaarnemingen en steekproeven10. In hoofdstuk 2 (§2.2) worden de voordelen nader toegelicht.

1.3 Onderzoeksdoel en probleemstelling

Het doel is te onderzoeken in hoeverre de theoretische modellen – die bedoeld en onbedoeld meestal gericht zijn op grote beursgenoteerde ondernemingen - praktisch uitvoerbaar zijn MKB-ondernemingen. Onder een MKB-onderneming wordt globaal verstaan (zie verder hoofdstuk 3): een zelfstandige onderneming met een omzet tussen de 10 en 50 miljoen euro, controleplichtig en niet beursgenoteerd. Het doel van mijn scriptie is een om een ‘brug’ te slaan tussen de literatuur enerzijds en de huidige MKB-controlepraktijk in Nederland. In dit onderzoeksverslag wordt antwoord gegeven of CA toegepast kan worden in het interne en externe controleproces van een grote MKB-onderneming.

De probleemstelling luidt: Is het haalbaar om Continuous Auditing toe te passen in het interne en externe controleproces van een grote MKB-onderneming en zo ja, onder welke voorwaarden?

Haalbaarheid is te onderscheiden in een technisch en een economisch aspect. De focus ligt op economische haarbaarheid. Hieronder wordt verstaan dat de opgeofferde waarden worden terugverdiend door kostenbesparingen of meeropbrengsten11.

Om de probleemstelling te kunnen beantwoorden zijn de volgende deelvragen geformuleerd:

1. Welke voorwaarden moeten er aan het IT-systeem gesteld worden?

2. Welke voorwaarden moeten er aan de bedrijfsvoering van de onderneming gesteld worden?

3. Welke voorwaarden moeten er aan de accountant gesteld worden?

8

Continuous Auditing, Cantu e.a., paper College of Business administration, 2002, p.1. 9

Continuous Audit: The Motivations, Benefits, Problems, and Challenges Identified by Partners of a Big 4 Accounting Firm, Searcy, DeWayne, Jon Woodroof, e.a. ,Proceedings of the 36th Hawaii

International Conference on System Sciences , 2002, p. 1-10. 10

Innovation and practice of continuous auditing, p. 4. 11

1.4 Afbakening onderzoek

CA is een middel. Het doel van CA is het verschaffen van continuous assurance, doorlopende zekerheid. Continuous assurance is “het voortdurend en onvertraagd verstrekken van zekerheid over financiële stukken12”. Het verschaffen van zekerheid is een logisch gevolg van CA, doorlopende interne en externe controle. Als het controleproces van CA goed is

ingericht, kan spoedig of direct na het controleren van het financiële object een

controleverklaring worden afgegeven. Voor grote MKB-ondernemingen kan continuous assurance interessant zijn, bijvoorbeeld om direct na een kwartaal de solvabiliteitsratio aan de financier te verstrekken of het behaalde rendement aan de aandeelhouders. Maar voor veel MKB-ondernemingen is een controleverklaring bij de jaarrekening voldoende. CA kan de periode tussen controle en het afgeven van een controleverklaring aanzienlijk versnellen. Om deze reden en om mijn onderzoek af te bakenen valt het doel van CA buiten deze scriptie. Inzet is dus niet de assurance-droom van accountants, waarbij grote bedrijven op een website een dagelijkse, continu gecontroleerde financiële overzichten beschikbaar stellen voor beleggers en andere stakeholders13, maar dat het de onderneming praktische voordelen biedt. Het gaat daarbij om doelen als efficiency en doelmatigheid in de controle. Dus tegenover implementatiekosten moet een betere beheersing van bedrijfsrisico’s, minder uren accountantscontrole of een betere concurrentiepositie staan.

Deze afbakening geldt ook voor continuous reporting, het proces waarmee gedigitaliseerde informatie beschikbaar wordt gesteld via electronische kanalen- bijvoorbeeld SBR

(voorheen XBRL) - gelijktijdig met de creatie ervan. CA biedt wel mogelijkheden om sneller een jaarrekening uit te brengen of tussentijdse cijfers, maar de meeste MKB-ondernemingen volstaan met het een keer per jaar deponeren van een jaarrekening, waar – bij gebrek aan stakeholders – snelheid en tijdigheid van ondergeschikt belang is.

Dit onderzoek richt zich dus op voorkant van externe verslaggeving, namelijk controle op de informatie op basis waarvan de financiële overzichten tot stand komen. Omdat het aan de externe accountant is om zekerheid te verschaffen, wordt CA in dit onderzoek vooral bekeken vanuit de accountantscontrole en ligt de nadruk minder op de interne beheersing bij de onderneming.

1.5 Onderzoeksmethode

Om antwoord te geven op de probleemstelling is een toetsingsonderzoek uitgevoerd door middel van een case study. De focus ligt op haalbaarheid. Empirisch onderzoek onder een populatie vooraf geselecteerde ondernemingen levert oppervlakkigere resultaten op en niet het kwalitatieve bewijs op om de probleemstelling te beantwoorden. Een dergelijk

kwalitatief onderzoek als een case study verschaft inzicht in de mogelijkheden maar ook de beperkingen om CA toe te passen bij een MKB-onderneming. Op deze manier kan gedegen antwoord gegeven worden of CA haalbaar is. Omdat het onderzoek zich richt op het MKB is ook om de volgende redenen voor een case study gekozen14:

• Er zijn geen artikelen bekend die toepassingen van CA in het MKB beschrijven anders dan voor beursgenoteerde ondernemingen. Literatuuronderzoek is om deze reden niet mogelijk. Een case study kan als voorbeeld dienen voor verdere publicatie op dit gebied.

12 _{Continuous auditing: the USA experience and considerations for its implementation in Brazil, p. 212.}

13

Continuous assurance: het eeuwige talent?, R. Dassen, MAB april 2003, p. 134.

14

• Er zijn geen MKB-ondernemingen bekend die CA hebben toegepast. Een case study kan de mogelijkheid om CA toe te passen aantonen en de hypothese bevestigen dan wel ontkrachten.

• De haalbaarheid van CA bij een grote MKB-onderneming is nog niet onderzocht. Een case study is een goede basis voor verder kwalitatief en kwantitatief onderzoek op dit terrein.

Voor de case study is een onderzoeksplan opgesteld, dat bestaat uit een ontwerp, data verzameling en analyse. Deze worden beschreven in hoofdstuk 4 (§ 4.1).

1.6 Indeling verslag

Het onderzoeksverslag is als volgt opgebouwd: in het volgende hoofdstuk wordt de geschiedenis van CA beschreven, wordt de methodologie van CA uiteen gezet en de verschillen met traditionele accountantscontrole benoemd. Tot slot wordt antwoord gegeven op de deelvragen. In hoofdstuk 3 wordt de hypothese opgesteld en de

voorwaarden beschreven die als vereisten bij een MKB-onderneming aanwezig moeten zijn om CA toe te passen. In hoofdstuk 4 wordt het onderzoeksplan opgesteld en worden aan de hand van een case de vooraf geformuleerde randvoorwaarden beschreven. Tevens wordt van de gekozen onderzoeksmethoden verantwoord en is de validiteit, betrouwbaarheid en de bruikbaarheid van de geanalyseerde data beschreven.

Figuur 1: Indeling onderzoeksverslag

In hoofdstuk 5 volgt de analyse van deze onderneming aan de hand van de gedefinieerde randvoorwaarden en de analyse-matrix. In hoofdstuk 6 volgt op basis van de analyse een antwoord op de hypothese en wordt de conclusie op het onderzoek gegeven. Bovenstaande figuur 1 vat de structuur en de samenhang van de verschillende onderdelen samen.

Hoofdstuk 2: Continuous auditing

In dit hoofdstuk wordt de geschiedenis en ontwikkeling van continuous auditing uiteen gezet vanaf de jaren ’60 tot heden. Daarna worden de principes van CA toegelicht. Eerst volgen de belangrijkste verschillen met de traditionele accountantscontrole in samenhang met interne controle, daarna volgt een raamwerk als methodologie voor CA.

2.1 Definitie

De rol van interne beheersing verandert als gevolg van ontwikkelingen in IT en een vergaande ambitie naar meer effectiviteit en efficiency. Steeds meer onderzoekers en accountants pleiten voor het product van de toekomst: continuous auditing, oftewel ‘voortdurende controle’. Dit houdt in dat een onafgebroken controle plaatsvindt op de financiële verantwoording of bepaalde processen van de organisatie, waarbij de interne controle meer gedynamiseerd en verspreid kan plaatsvinden. Kenmerkend is dat er

routinematig of doorlopend controle wordt uitgevoerd op processen of andere herhalende gebeurtenissen. De essentie van CA is dat de tijd tussen de operationele processen en het afgeven van de controleverklaring verkleind wordt15. Dit is zoals in het vorige hoofdstuk gesteld het uiteindelijke doel. CA is een middel om doorlopend zekerheid te kunnen verschaffen over financiële overzichten. Onderstaand schema laat de belangrijkste verschillen in de controle-aanpak zien.

Figuur 2: Traditionele controle versus CA16

Deze andere manier van controleren is al decennia in ontwikkeling. Deze manier van controleren verschilt duidelijk van de huidige traditionele wijze, waarbij controles achteraf en veelal handmatig op de transactiestromen en balansposten worden uitgevoerd. Er zijn verschillende definities van CA te vinden in de literatuur, vaak passend in het tijdsbeeld.

15

Continuous auditing: the USA experience and considerations for its implementation in Brazil, p. 215. 16 _{Innovation and practice of continuous auditing, p. 3.}

In de meeste artikelen wordt de definitie genoemd zoals verwoord door het CICA/AICPA17. De volgende beschrijving is echter duidelijker (eigen vertaling):

Continuous auditing is een systematisch proces om elektronisch bewijs te verzamelen, dat geschikt is om een controleverklaring af te geven over financiële overzichten, die elektronisch en real-time tot stand zijn gekomen.18

Hieruit blijkt dat CA een systematisch middel is om zekerheid te verschaffen, middels een controleverklaring. Het bewijs voor de controleverklaring bestaat uit een systematische analyse van digitale bronnen. Systematische analyse houdt in: een geautomatiseerde, geprogrammeerde controle.

CA staat in nauw verband met enkele andere nieuwe begrippen, zoals continuous reporting en continuous assurance. Continuous reporting heeft als belangrijk element de eis dat de informatie wordt gedigitaliseerd en direct beschikbaar is via elektronische wegen op het moment van het beschikbaar komen van deze digitale informatie19. Hierbij geldt dat deze informatie niet perse ‘real time’ hoeft te zijn, maar wel direct bij beschikbaarheid dient te worden gepubliceerd. Continuous assurance richt zich op de rol van de externe accountant als verstrekker van zekerheid bij verantwoordingen met betrekking tot de doorlopende verslaggeving. Zoals vermeld in § 1.4 gaat dit onderzoek niet verder in op deze begrippen.

2.2 Voordelen

Bij CA is het IT-systeem zowel het middel voor controle als het object van controle zelf. Het belangrijkste voordeel is tijdwinst, zowel voor de onderneming als voor de accountant. Omdat transacties doorlopend gecontroleerd worden, kan het management meteen ingrijpen zodra het systeem een conflict – dat wil zeggen een afwijking van de norm - constateert. De accountant hoeft achteraf minder controles uit te voeren en kan na balansdatum sneller zijn werkzaamheden afronden en een accountantsverklaring afgeven. Andere voordelen die in de meeste gepubliceerde artikelen worden genoemd hangen samen de ontwikkeling van IT, regelgeving en aandacht ten aanzien van interne beheersing van bedrijfsrisico’s en vaktechnische ontwikkeling. De voordelen ten aanzien van de

vaktechnische ontwikkeling van de accountant en een verbeterde beheersing van bedrijfsrisico’s voor de onderneming worden hieronder toegelicht.

Vaktechnische ontwikkeling van de accountant hangt samen met de ontwikkeling van IT en betekent kennis en ervaring opdoen in het controleren van informatiesystemen. De accountant moet verder mee in de digitalisering. Hij kan daar niet om heen: met toenemende mate zullen bedrijfsprocessen geautomatiseerd worden en de accountant moet zich blijven ontwikkelen om aan gedegen controle-informatie te komen. Vasarhelyi beschrijft de ontwikkelingen in de IT vanaf de jaren ’50 en laat de beperkingen zien voor de

17 _{Research Report, Canadian Institute of Chartered Accountants en American Institute of Certified} Public Accountants, 1999: A continuous audit is a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors' reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter (hoofdstuk 2, Framework).

18

Continuous Auditing: the auditing of the future, p. 150: “a systematic process of gathering electronic audit evidence as a reasonable basis to render an opinion on fair presentation of financial statements prepared under the paperless, real-time accounting system.”

19

Twenty-First Century Assurance, R.K. Elliott, Auditing: A Journal of Practice and Theory, Vol. 21, no. 1, maart 2002, p. 139.

accountant20. Hadden bijvoorbeeld accountants eerst direct toegang tot papieren documenten, met de introductie van magnetische tapes werd dit onmogelijk. Bovendien konden deze bronnen veranderd worden zonder een spoor achter te laten. Met de invoering van databases eind jaren ’70 werden accountants voor het probleem gesteld dat de

databases vanaf verschillende locaties te benaderen waren en ver verwijderd zijn van de gebruikers. En zo stelde elke nieuwe stap in de ontwikkeling van de IT de accountant voor nieuwe vraagstukken.

Nu is CA geen noodzaak, de accountant kan volstaan om alleen de output te controleren. Maar het levert de accountant wel een ander vaktechnisch voordeel op: kwalitatief beter controle bewijs tegen dezelfde of minder inspanning, bijvoorbeeld controle op de hele populatie in plaats van deelwaarnemingen en steekproeven.21 Ook de onderneming bespaart veel tijd: functionarissen met controlerende bevoegdheden hoeven niet steeds handmatig na te gaan of alle operationele processen goed verlopen.

Met CA kunnen bedrijfsrisico’s beter beheerst worden. Volgens Handscombe22 neemt de effectiviteit van de interne beheersing in een organisatie toe door allerlei psychologische factoren wanneer accountants controles verrichten. Zie onderstaande afbeelding (actual = effectiviteit van de interne beheersing). Maar zodra zij uit het zicht verdwenen zijn, verslapt de interne discipline en blijft de effectiviteit achter bij de verwachting.

Figuur 3: Effectiviteit van interne beheersing bij traditionele controle versus CA

Bij CA daarentegen worden alle fouten ontdekt zodra ze zich voordoen en zal de effectiviteit van de interne beheersing beter voldoen aan de verwachting van het management. In hoofdstuk 2 (§ 2.5 onder D.2 ) wordt interne beheersing als onderdeel van ERM verder uitgewerkt.

Behalve bovengenoemde voordelen heeft de accountant meer keuze in controletechnieken. Zo is het mogelijk om preventieve controles in te bouwen23. Verder wordt de noodzaak van

20

The continuous audit of online systems, p. 111-112. 21

Innovation and practice of continuous auditing, p. 4. 22

Continuous auditing from a practical perspective, p. 1-2.

23 _{Bijvoorbeeld de 11-proef bij bankrekeningnummers: het laatste cijfer wordt vermenigvuldigd met} 1, het op een na laatste met 2, enzovoort tot en met het eerste cijfer, dat dus wordt vermenigvuldigd met 9. De som van de resultaten moet een veelvoud van 11 zijn.

de werkzaamheden zichtbaarder voor de cliënt en biedt hij meer toegevoegde waarde als hij problemen kan oplossen zodra zij zich voordoen of ze zelfs kan voorkomen24.

Voor een onderneming tellen vaak in de eerste plaats bedrijfseconomische voordelen en eventuele nadelen; daar laten de wetenschappers zich echter minder uit over. Dit is meer het domein van accountantsorganisaties die CA als ‘adviesproduct’ willen verkopen.

Singelton en Singelton hebben de voor- en nadelen onderzocht25. Als voordelen noemen zij: betere risicobeheersing, real-time informatie, hulp voor de externe accountant en het verkleinen van de kloof tussen de interne en externe stakeholders. Als nadelen noemen zij: CA is duur, stelt hoge eisen aan de IT-infrastructuur en maakt het systeem traag. Bovendien kunnen naar hun oordeel de voordelen ook in nadelen uitvallen, als CA niet goed in de organisatie is toegepast. Uiteraard gelden voordelen alleen wanneer CA volledig is ingevoerd en door alle medewerkers ondersteund wordt.

Kostenbesparing wordt nauwelijks als voordeel genoemd. De tijdwinst die CA oplevert moet het aantal controle-uren van de eigen organisatie en van de accountant beperken. Maar CA is geen middel om kosten te besparen. Implementatie vraagt om een investering, waarvan nog onbekend is of zij terug verdiend wordt. Onderzoek in 2010 van KPMG naar de

voordelen van CA laat zien dat CA door ondernemingen vooral gezien wordt om risico’s te beperken en niet om kosten te besparen26. Alleen bij de implementatie van CA bij een onderdeel van het concern Siemens in de Verenigde staten is gesteld dat de investering van binnen een jaar is terug te verdienen omdat minder inzet interne accountants nodig is27.

2.3 Ontwikkeling van een methodologie

Het begin van CA is niet precies aan te geven, maar de ontwikkelingen zijn al decennia gaande. In de jaren ’60 werden de eerste Embedded Audit Modules (EAM)

geprogrammeerd28. Deze modules waren moeilijk te bouwen en te onderhouden. Omdat ze weinig werden gebruikt werd deze techniek in jaren ‘70 verlaten. Vanaf de jaren ‘80 kwamen er Computer Assisted Audit Tools and Techniques (CAATT’s) waarmee data geanalyseerd konden worden. Maar de meeste accountants vonden de technieken te ingewikkeld en te tijdrovend, noch zaten de ondernemingen op experimenten te wachten.

Vasarhelyi en Halper zijn de eersten die een compleet model van ononderbroken controle hebben ontwikkeld en hebben toegepast voor telefoniebedrijf AT&T29. In 1989 ontwikkelden ze een methodologie genaamd Continuous Process Audit Methodology (CPAM) en een afgeleid controlesysteem Continuous Process Auditing System (CPAS). Dit controlesysteem werd ontwikkeld om het facturatiesysteem binnen het bedrijf te evalueren. Dit

controlesysteem wordt gezien als het eerste echte voorbeeld van CA.

24

Continuous auditing from a practical perspective, p. 5.

25 _{Auditing Headaches? Relieve Them with CAR, T. Singleton & A. J. Singleton, The Journal of} Corporate Accounting & Finance, 2005, p. 17-27.

26

http://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Documents/PDF/

Risk%20and%20 Compliance/Continuous_Auditing_Continuous_Monitoring1.pdf, beschikbaar 8 mei 2011.

27

Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at Siemens, p.141.

28 _{Continuous Auditing: implications for Assurance, Monitoring, and Risk Assessment, D. Coderre,} publicatie GTAG, p. 3.

29

In de jaren tachtig en negentig zijn er andere vormen van CA geweest die op zich zelf stonden en niet tot navolging door andere bedrijven of accountants hebben geleid. Dit veranderde toen tien jaar later in 1999 de Canadese en Amerikaanse beroepsorganisaties voor accountants, CICA en AICPA, onderzoek deden naar CA. In 1999 brachten zij

gezamenlijk een onderzoeksrapport uit. Zij presenteerden een framework voor CA in overeenstemming met de controlestandaarden en gehanteerde randvoorwaarden en werkten deze methodologie uit aan de hand van diverse voorbeelden. Het laat enkele praktische toepassingen zien aan de hand van een productiebedrijf, waarbij de belangrijkste post de voorraad en het onderhanden werk is. CA wordt in dit voorbeeld gebruikt om met regelmaat zekerheid te geven over de waardering van de voorraad, omdat het een van de kredieteisen is van de bank.

De meeste artikelen die daarna geschreven zijn zien dit onderzoeksrapport als basis en werken een deel van deze methodologie verder uit. De artikelen zijn heel divers: sommige artikelen beschrijven alleen de hoofdlijnen, andere zijn vrij technisch. Diverse facetten komen voorbij: de rol van de interne of externe accountant, uitwerking van

randvoorwaarden, of accountants bereid zijn CA toe te passen, mogelijkheden en onmogelijkheden van diverse controlemodules, softwarepakketten, et cetera.

Gedurende de jaren ‘90 werden er tal oplossingen verspreid om de effectiviteit van interne controle te toetsen middels data-analyse. Bijvoorbeeld controle op toegang tot het ERP-pakket en autorisatietabellen om fouten of functievermenging op te sporen. Ook spoorde het fouten op die niet overeenkwamen met normen in het geautomatiseerde systeem en konden er aanvullende controles mee gedaan worden als er niet direct bewijs onderbouwd kon worden door de geanalyseerde transactiestromen. Maar de meeste accountants bleven nog steeds de traditionele controlemethoden gebruiken op basis van steekproeven door middel van gerichte steekproeven in plaats van de hele populatie geautomatiseerd door te lichten.

Een grote doorbraak voor CA als manier van controleren bleef uit30. In de Verenigde Staten kreeg CA vanaf 2002 een nieuwe impuls door de invoering van de Sarbanes-Oxley wet (afgekort SOx), een wet waarin staat dat door de directie een ‘in control statement’ moet worden afgegeven. Het management werd verantwoordelijk voor toenemende

hoeveelheden stromen van data en transacties en moet sindsdien jaarlijks verklaren dat zij ‘in control’ zijn en dat het interne controlesysteem werkt. De accountants kregen

makkelijker toegang tot meer bronnen. Sommige bedrijven hebben door deze wet een goed intern controlesysteem ingevoerd en bewaken dagelijks op deze manier de

bedrijfsprocessen. Dit is een geïntegreerde methode, opgezet om zekerheid te verkrijgen dat het beleid, de procedures en de processen van een organisatie effectief zijn en dat

organisatiedoelen worden gerealiseerd. Deze methode wordt continuous monitoring genoemd. Figuur 4 laat zien dat een controlefout intern gesignaleerd wordt. De externe accountant beoordeelt dit proces, bijvoorbeeld in het kader van SOx.

Parallel zijn er ook andere ontwikkelingen. De inzet van controlesoftware zoals IDEA of ACK wordt ook beschouwd als een vorm van CA. In 2011 is een mogelijkheid gepresenteerd om zelflerende software in te zetten, waarbij onregelmatigheden in data op grootboekniveau op basis van een Bayesiaanse netwerk opgespoord kunnen worden31.

30

Continuous auditing: the USA experience and considerations for its implementation in Brazil, p. 214. 31

Figuur 4: Continuous auditing & monitoring in kader van SOx-wetgeving.

Hoewel dit soort softwarepakketten genoemd worden als controlemiddel voor CA, worden ze in de praktijk achteraf gebruikt en is er in feite geen sprake van doorlopende controle. Wel is duidelijk dat er aandacht en ontwikkeling blijft in de controle van het financiële informatiesysteem.

2.4 Verschillen met traditionele controle

Bij CA worden datastromen doorlopend bewaakt en geanalyseerd op basis van vooraf gedefinieerde controleregels. De controle van de accountant bestaat uit het testen van interne controlemaatregelen, het zoeken naar digitale handtekeningen of andere patronen of gebeurtenissen. In een vergaand geautomatiseerd systeem kan de accountant uiteindelijk volstaan met het controleren van uitzonderingen. Uitzonderingen op deze regels zullen een signaal afgeven om de accountant te wijzen op onregelmatigheden in het systeem. Als een werknemer een betalingslimiet overschrijdt en er is een controleregel gedefinieerd die een alarm afgeeft, dan moet iemand daarop reageren. In overleg met de accountant moet dus bepaald worden welke alarmsignalen intern opgevangen worden, welke extern of allebei. CA verandert de aard, vergroot het tijdsbestek en het bereik van een traditionele

jaarrekening controle32:

1. Aard: Bij een traditionele controle worden interne controle en steekproeven gebruikt om de beweringen van het management te toetsen. Bij CA worden geautomatiseerde controles op datastromen toegepast en worden alle uitzonderingen, overtredingen of onregelmatigheden gesignaleerd.

2. Tijdsbestek: bij CA wordt interne controle en controle op de transactiestromen gelijktijdig getest, in plaats van interne controle tijdens de planningsfase en detailcontroles tijdens de jaareindecontrole. Dit is nodig om zo snel mogelijk zekerheid te verschaffen.

3. Bereik: bij steekproeven is er altijd de mogelijkheid dat fouten door invoer, omissies en fraude onontdekt blijven. Bij CA wordt de hele populatie doorgelicht. Dit levert een kwalitatief beter bewijs voor het accountantsoordeel op. Dit wil niet zeggen dat alle materiële fouten gevonden worden, afwijkingen blijven mogelijk bij statische schattingsposten of als er geen goede controleregel is geprogrammeerd. Als CA goed is ingeregeld is dat kans klein dat het management het systeem kan doorbreken.

32

2.5 Raamwerk

Het rapport van de CICA/AICPA bevat een raamwerk waarin op hoofdlijnen is geschreven hoe CA kan verlopen. Er worden verschillende modellen voor CA genoemd die gebaseerd zijn op het raamwerk van de CICA/AICPA en hetzelfde beogen: Continuous Auditing and Financial Reporting (CAR), Continuous Assurance Metrics (CAM), Continuous Process Auditing System (CPAS) en Continuous Process Auditing Methodoly (CPAM).

RAAMWERK CONTINUOUS AUDITING 2011

Domein Criteria Belangrijkste kenmerken

A. Controlestandaarden US GAAS NV COS

• Object van onderzoek • Toepassen van de juiste

criteria

• Controleverklaring als uitkomst evaluatie toetsing object

B. Randvoorwaarden 1. Geschikte criteria 2. Betrouwbaarheid systeem 3. Controlebewijs door hoog geautomatiseerde procedures 4. Betrouwbare middelen om continu controle uit te voeren 5. Hoge mate van

expertise accountant 6. Continu toegang tot

accountantsrapporten (assurance)

Niet in CICA/AICPA: 7. IT-afdeling

• Routinematige harde data / niet- routinematige harde data /soft data

• General IT controls • Dataverbindingen • ERP-pakket

C. Controleaanpak 1. Kennis van de huishouding 2. Kritische bedrijfsprocessen 3. Risicoanalyse 4. Materialiteit • Application controls • Signaleringslijstjes • Uitzonderingsrapporten • Alarms, triggers

D. Technologie 1. Strong version 2. Light version

• Ingebed in systeem • Externe modules • Volledig domein van

accountant Niet in CICA/AICPA: • Onderdeel van ERM

Dull heeft een ander model ontworpen waarmee saldi automatisch met externe derde partijen kan worden afgestemd, het Automated Continuous Transaction Verification

Environment (ACTVE) model33. Dit model is vooral bedoeld voor financiële instellingen maar heeft verder geen navolging gekregen omdat implementatie te ingewikkeld en te duur is. Het raamwerk CICA/AICPA is in figuur 5 samengevat en aangepast aan de hand van artikelen die naderhand naar aanleiding van dit raamwerk verschenen zijn34. Dit raamwerk wordt per domein toegelicht.

A. Controlestandaarden

De basis voor accountantscontrole zijn de Generally Accepted Auditing Standards (GAAS), een raamwerk van eisen en richtlijnen die accountants moeten volgen in hun

werkzaamheden met betrekking tot controle van financiële verantwoordingen. Deze controlestandaarden zijn per continent en per land uitgewerkt. In Nederland zijn de controlestandaarden uitgewerkt in de Nadere Voorschriften Controle en Overige

Standaarden (NV COS). Vergelijking met de controlestandaarden met Amerika en Canada laat zien dat er kleine verschillen zijn35. Maar de belangrijkste overeenkomst met betrekking tot CA is dat de accountant niet alleen de jaarrekening kan controleren, maar ook de effectiviteit van het interne controlesysteem36. De accountant kan zowel financiële als niet-financiële informatie controleren. Het object van onderzoek staat CA niet in de weg. CA kan gebruikt worden voor het controleren van de hele jaarrekening, delen van de jaarrekening, ratio´s en kengetallen, de effectiviteit van het interne controle systeem.

B. Randvoorwaarden

Het rapport van de CICA/AICPA heeft zes voorwaarden benoemd die nodig zijn om CA toe te passen als controlemiddel. In figuur 6 worden deze zes voorwaarden en hun onderlinge relatie weergegeven. In bovengenoemd raamwerk (figuur 5) is een onafhankelijk IT-afdeling als zevende voorwaarde genoemd, omdat zonder toegang tot de data CA onmogelijk is. De randvoorwaarden zijn de belangrijkste variabelen voor CA. Wanneer deze randvoorwaarden onvoldoende afgedekt of aanwezig zijn, heeft toepassing geen zin. De meeste artikelen die na 1999 geschreven zijn, zien deze voorwaarden als basis. Diverse auteurs hebben aan de hand van dit raamwerk delen van CA verder geconcretiseerd. Samengevat worden de volgende zes voorwaarden genoemd:

1. De informatie moet geschikt zijn om gecontroleerd te worden; 2. Het informatiesysteem moet betrouwbaar zijn;

3. Geautomatiseerde procedures leveren het controle bewijs; 4. Betrouwbare middelen om doorlopend controle uit te voeren; 5. Hoge mate van expertise accountant;

6. Continu toegang tot accountantsrapporten;

De zesde voorwaarde heeft betrekking op continuous assurance. Dit valt buiten het kader van deze scriptie en wordt daarom niet toegelicht. De overige voorwaarden worden hieronder beschreven.

33

ACTVE: A Proposal for an Automated Continuous Transaction Verification Environment, Dull. e.a , Journal of Emerging Technologies in Accounting 3 (1), 81 (2006); p. 81-96.

34

Het raamwerk is geschreven voor de invoering van de wet SOx en voor grootschalige internet-toepassingen van de jaren 2000-2010 en is naar mijn mening aan een update toe. In dit onderzoek heb ik ERM en een aparte IT-functie aan het raamwerk toegevoegd.

35 _{Verschillen betreffen slechts benamingen van definities, terwijl dezelfde begrippen worden} bedoeld.

36

Figuur 6: Zes voorwaarden voor CA (CICA/AICPA)

B.1 Passende kenmerken

Voor de uitvoering van de controle geldt dat het te controleren object moet bestaan uit kenmerken die geschikt zijn voor controle en dat daarvoor de juiste normen of criteria voor controle bepaald kunnen worden. Feitelijk is dit niet anders dan bij de traditionele

jaarrekeningcontrole, alleen bij CA is alles digitaal. Alleen met geschikte criteria kunnen er geautomatiseerde controles opgesteld worden die fouten of onregelmatigheden opsporen. Het management moet passende criteria ontwerpen om de meest belangrijke variabelen te toetsen. Deze criteria moeten passen bij de beweringen, bijvoorbeeld de bewering dat alle ontvangen goederen ook opgenomen zijn in de administratie en dat het de aantallen overeen komen met de verscheepte aantallen van de leverancier. Dit soort criteria moeten controleerbaar zijn.

B.2 Betrouwbaarheid systeem

Het systeem moet effectief blijven werken gedurende lange tijd onder bepaalde

omstandigheden. Dit is vanzelf sprekend, maar geldt in bijzonder voor CA. Dit kan het beste bereikt worden in een organisatie waar in de hele IT-omgeving effectieve controle

ingebouwd is. COCO heeft hier een raamwerk voor geleverd vanuit een holistische benadering. Criteria zijn verder uitgewerkt in CICA´s Information Technology Control Guidelines (ITCG) , ISCF, PCAOB en COBIT. De ITCF bijvoorbeeld heeft uitgewerkt wat de eisen zijn van het Businnes model, data architectuur, toepassing architectuur, technische architectuur, migratieplan. Door de Public Company Accounting Oversight Board (PCAOB) zijn de IT controls voor de jaarrekeningcontrole toegespitst op vier rubrieken37:

1. Toegang tot programma’s en data; 2. Change management;

3. Ontwikkeling van programma’s; 4. Operationeel management;

37

Relatie IT application en IT general controls nog eens onder de loep, H.G.Th. van Gils, Compact no.3, 2007, p. 23.

De eerste drie rubrieken gaan vooral over de betrouwbaarheid van het systeem, de vierde de continuïteit van de processen. Deze indeling is voor Cobit aanleiding geweest een selectie van ITGC te maken uit het volledige raamwerk en deze selectie te koppelen aan de vier rubrieken. Menig accountantskantoor heeft de ITGC-checklists aangepast aan deze vier rubrieken. Aan de hand van deze checklist kijkt de accountant naar effectieve werking van general controls, de ontwikkeling ervan, de implementatie van het management systeem en directe controles zoals toegangscontroles, bewerken, validatie, data transmissie,

totaalcontrole, opeenvolgende nummering, signaleringslijstjes, uitzonderingsrapporten en database management.

Application controls kunnen niet zonder adequate general controls. Een bekend voorbeeld van een application control is de 3-way match (afstemming tussen bestelling,

goederenontvangst en inkoopfactuur), een controlemaatregel die uitstekend gebruikt kan worden voor CA door een signalering te koppelen. Stel dat de accountant wenst te steunen op de 3-way match in het kader van de beoordeling van de rekening crediteuren. Daarom test de accountant of de application control goed is geïmplementeerd. Daartoe wordt bijvoorbeeld een interview gedaan met de systeemeigenaar, is aan de hand van enkele facturen vastgesteld dat het systeem de controle heeft uitgevoerd en zijn de

tolerantiegrenzen in de tabel in het systeem beoordeeld. Op basis daarvan heeft de accountant vastgesteld dat de application control effectief is. Om vervolgens voldoende zekerheid te krijgen dat deze control ook in de tijd effectief is vraagt hij de EDP-auditor38 de ITGC te beoordelen. Stel dat de EDP-auditor vaststelt dat de 25 medewerkers van de afdeling Systeemontwikkeling allemaal de mogelijkheid hebben programma’s in de productiebibliotheek te zetten. De EDP-auditor concludeert daarom dat change

management niet effectief is ofwel dat er onvoldoende bewijs is om aan te nemen dat de geprogrammeerde controles ongewijzigd zijn gebleven.

B.3 Controlebewijs door hoog geautomatiseerde procedures

Op een enkeling na zijn de auteurs het erover eens dat CA niet zonder vergaande mate van automatisering van de bedrijfsprocessen kan39. Terugkomend element is een sterk

informatiesysteem zoals een ERP-pakket of web-based applicaties. Voordat een accountant over gaat op CA moet hij eerst nagaan of het object van onderzoek geschikt is voor controle binnen het tijdsbestek dat past bij CA. Informatie uit hoog geautomatiseerde processen moeten betrouwbaar zijn voor extern gebruik en moeten snel beschikbaar zijn na het verschijnen van onderliggende gebeurtenissen en processen. Om vertragingen te voorkomen en om geautomatiseerde controles mogelijk te maken moeten er zo weinig mogelijk menselijke interventies zijn. De data moeten te ‘lezen’ zijn. Er zijn volgens de CICA/AICPA drie typen data, afhankelijk van de moeilijkheidsgraad. Dit moet bepaald worden om te kijken of CA mogelijk is.

1. Routinematige harde data: gerelateerd aan gebeurtenissen of voorwaarden met een repeterend karakter en gemakkelijk te interpreteren of te meten zijn. Bijvoorbeeld als het management gecontroleerd wil dat hun e-commerce systeem voldoet aan wet- en regelgeving, dan kan dat als onderliggende prijzen en hoeveelheden

gemakkelijk door computers op te vragen zijn. Inherent risico en controlerisico´s zijn hierbij laag.

38

Beroepstitel waar bij EDP staat voor Electronic Data Processing. 39

Jeff Reibel stelt een File Management Systeem voor als tussenoplossing van Continuous Auditing voor ondernemingen waar de interne controle vooral uit handmatige procedures bestaat (Continuous Auditing is possible (really), gezien op http://www.accountingtoday.com/news/Continuous-Auditing-Is-Possible-Really-53898-1.html) , beschikbaar 15 april 2010.

2. Niet-routinematig harde data: gerelateerd aan gebeurtenissen of voorwaarden die niet vaak ontstaan of gebeuren en gemakkelijk te interpreteren of te meten zijn en vaak gecombineerd worden met andere bronnen en berekeningen of manipulaties. Bijvoorbeeld voorraadlijsten uit inventarisatie, veranderingen in kredietlimieten, voor belasting belastbare bedragen, data voor overlopende balansposten. Geschiktheid voor CA hangt af van mate dat management de data aanpast. 3. Soft data: gerelateerd aan oordelen en veronderstellingen, gebeurtenissen of

voorwaarden met schattingen. Meer subjectief en minder geautomatiseerd. Bijvoorbeeld contante waarde van schulden of marktwaarde van bezittingen. Bij dit soort data speelt een hoge mate van interventie door het management.

B.4 Betrouwbare middelen om doorlopend controle uit te voeren

Voor toepassing van CA moet er een controleprogramma worden geprogrammeerd. Ook moet de accountant doorlopend toegang hebben tot het systeem, hetzij door een

controlemodule of controlesoftware op te starten, hetzij door het ontvangen van door het systeem gegenereerde rapporten. De accountant moet over beveiligde verbindingen toegang kunnen hebben tot zijn controleprogramma en moet bewijsmateriaal kunnen opslaan als onderbouwing voor zijn oordeel.

B.5 Hoge mate van expertise accountant

De ontwikkeling van CA hangt samen met de ontwikkeling van IT. Een onderneming kan niet meer zonder IT; dit is het middel om het management snel betrouwbare en relevante informatie te geven. Een goed Management Inormatiesysteem (MIS) ondersteunt managers bij beslissingsprocessen en leidt tot informed decisions. De accountant wordt

geconfronteerd met het feit dat brondocumenten uit dit MIS digitaal zijn. De ontwikkeling dat steeds meer gegevens niet tastbaar zijn en onzichtbaar kunnen worden bewerkt, stelt de accountant steeds weer voor problemen. Als deze problemen zijn opgelost, zijn er weer nieuwe mogelijkheden en zo gebeurt het vaak – zoals in § 2.3 beschreven - dat de accountant achter de ontwikkelingen van IT bij de cliënt na loopt. De accountant moet voldoende kennis van informatiesystemen hebben of moet bereid zijn een specialist in te huren. Maar ook dan moet de accountant over kennis beschikken om de bevindingen van de IT auditor te kunnen beoordelen. Hierbij valt te denken aan een EDP-auditor of een

consultant met kennis van IT en interne geautomatiseerde controle.

Maar kennis alleen is niet voldoende. Ondanks de aanwezige kennis over CA, blijft de traditionele manier van controle overheersen. Dit is in 2003 bevestigd door het

onderzoeksrapport van het IIARF (IIA Research Foundation), waaruit bleek dat accountants positief tegenover CA staan, maar dat onzekerheid en gebrek aan ervaring hen parten spelt40. In 2008 heeft Benford onderzoek gedaan naar wat de vereisten zijn om CA in te voeren. Daaruit blijkt dat accountants CA wel in willen voeren, maar onzeker zijn of zichzelf niet kundig genoeg vinden41. Daarom is behalve kennis ook belangrijk dat een accountant het concept van CA begrijpt en dat hij bereid is om zijn controle werkzaamheden anders in te richten. CA heeft gevolgen voor de urenplanning van de controlewerkzaamheden. In plaats zich te concentreren op één cliënt gedurende een korte periode zal de accountant zijn aandacht moeten verdelen over meerdere cliënten tegelijkertijd42.

40

Continuous Auditing: Potential for Internal Auditors, Warren, Parker, 2003.

41 _{Independent auditors’s willingness to provide continuous auditing services: a theory of planned}

behavior approach, T. Benford, University of Central Florida, 2008.

42

B.6 Continu toegang tot accountantsrapporten

Deze voorwaarde heeft betrekking op continuous assurance en valt daarom buiten het kader van deze scriptie en wordt daarom niet toegelicht.

B.7 IT-afdeling

De implementatie van CA wordt in de meeste gevallen door de interne accountant gedaan 43. Zonder toegang tot de juiste data heeft CA geen zin. Dat betekent dat de accountant in overleg moet met de IT-specialisten van de onderneming. Coderre stelt als eis dat je moet onderhandelen met je cliënt over toegang tot de data44. Het management is ervoor

verantwoordelijk dat de IT-afdeling toegang verleent. Als de IT-functie is uitbesteed aan een derde partij moeten aanvullende overeenkomsten worden gesloten, maar dit is erg lastig45. Om deze reden is een aparte IT-functie als 7e randvoorwaarde toegevoegd aan het

raamwerk in § 2.5.

Bij een goede implementatie kan de accountant snel fouten en onregelmatigheden

signaleren en de oorzaken herleiden waardoor ze ontstaan zijn en met de IT-afdeling of het management overleggen hoe fouten hersteld kunnen worden. Bij een goed geïntegreerd en sterk geautomatiseerde systeem kan er snel een rapport worden opgesteld. Als de data niet stabiel zijn, er fouten in zitten en de accountant allerlei aanvullende werkzaamheden moet verrichten, verliest CA snel zijn waarde. Daarom moet er goede communicatie zijn tussen accountant, het management de IT-afdeling. Het probleem doet zich daarbij voor dat de accountant zich moet verdiepen in de kennis en vaardigheden van de IT-er en dat de IT-er zich moet verplaatsen in de rol van de accountant. Deze kloof wordt de ‘semantic gap’ genoemd46. Door implementatie systematisch in te voeren, kan deze kloof overbrugd worden. Voor implementatie van de juiste controleregels worden de volgende vier stappen genoemd47:

1. Bepaal controledoelstellingen 2. Bepaal key control

3. Ontwerp controleregels

4. Implementeer controleregels gebaseerd op het patroon: • On event

• If condition • Than action

Deze stappen zijn niet meer dan het volgen van het traditionele risicomodel. CA bestaat eruit per bewering één of meerdere key controls te formuleren en vervolgens in het systeem te bouwen.

C.1 Kennis van de huishouding

De planningsfase bestaat uit verschillende analyses, zoals voorgeschreven in de NV COS 315/330. De controle begint met een gedegen kennis van de huishouding. De accountant moet kennis nemen van de omgeving waarin de onderneming opereert, de kenmerken van eigendom en leiding van de onderneming dat bepalend is hoe management op de omgeving opereert (inherent risico en de controle omgeving). Dus de accountant moet preventieve en

43

Innovation and Practice of Continuous Auditing, p. 5.

44

Continuous Auditing: implications for Assurance, Monitoring, and Risk Assessment, D. Coderre, publicatie GTAG, p. 18.

45 _{Continuous Auditing From a Practical Perspective, p. 5.} 46

Developping a continuous auditing assistance system based on information process models, p. 2.

47

detectiecontroles kennen en weten of fouten ontdekt worden en hoe en hoe snel ze gecorrigeerd worden (inherent controlerisico). Hij legt vast wie toegang heeft tot het systeem, wie welke rechten heeft en wat de mogelijkheden zijn om de ingebouwde controles te omzeilen.

C.2 Kritische bedrijfsprocessen

De accountant moet net als bij traditionele controles de kritische bedrijfsprocessen kennen. Bij alle controles moet de accountant jaarlijks lijncontroles uitvoeren om het bestaan vast te leggen. De accountant is in zijn traditionele controle gewend om te steunen op gesprekken met management en andere stafleden, observaties, reviewen van documenten en analyse financiële administratie. Maar bij CA moet een accountant meer doen. Hij moet sneller maar korter geïnformeerd worden en moet alle wijzigingen kennen die invloed hebben op het informatiesysteem, zoals andere leveranciers of problemen met afnemers. Dit kan door directe toegang tot het intranet van de cliënt of door het ontvangen van interne nieuwsbrieven. De accountant moet voorkomen dat hij overladen wordt met bergen irrelevante informatie. Dit kan door zoektermen te definiëren en zoekopdrachten los te laten op de stromen informatie.

C.3 Risicoanalyse

Na kennis van de bedrijfsprocessen moet hij weten welke jaarrekeningposten door deze processen beïnvloed worden. De accountant zal de variabelen moeten kennen die de jaarrekeningposten raken die hij controleert en hij zal moeten beoordelen welke controles er zijn die moeten waarborgen dat verwerkte criteria juist zijn. Na kennis van de te

controleren objecten, risico´s, controle omgeving en interne controle maakt de accountant een werkprogramma om het detectierisico verder te verkleinen om geen materiële fout te ontdekken. Dat is bij CA niet anders dan bij een traditionele controle. Bij CA is de controle-aanpak in te delen in vier fasen48:

1. Automatisering van de controlewerkzaamheden. De accountant analyseert op welke kritische bedrijfsprocessen CA is toe te passen. De toegang tot de data moet richting geven aan het eerste gebied waarvoor continuous auditing mogelijk is.

2. Het ontwikkelen en benchmarken van modellen door historische te data bewaren, patronen te ontwikkelen en data te confronteren met vooraf definieerde waarden. 3. Data-analyse door middel van computerassisted audit tools and techniques (CAATT´s)

om de interne controle te toetsen. Onder tools worden verstaan: audit software of expert system. Voorbeelden van technieken zijn integriteitstoets (om invalide transacties te signaleren), statistische analyse, analyse van logfiles of databases. 4. Rapportage bestaat uit het melden van bijzonderheden of uitzonderingen. Er worden

drie soorten alarmeringen onderscheiden:

a. waarden (metrics, variables, desired traits)zijn directe metingen door het systeem: data wordt vergeleken met de ingevoerde standaardwaarde en het systeem geeft een waarschuwing als deze waarde overschreden wordt.

b. analysen (analytics) van functionele, logische of empirische relaties tussen ingevoerde of gegenereerde waarden. Deze analysen kunnen door het systeem gegenereerd

worden of een externe gebruiker opgevraagd worden.

48

c. waarschuwingen (alarms, alarm triggers). Deze kunnen op vier verschillende niveaus worden ingelegd: laag (1) als het gaat om het functioneren van het CA-systeem, gemiddeld (2) om uitzonderingen op operationeel niveau te melden en hoog (3) en urgent (4) voor serieuze dan wel kritieke bedreigingen die de accountant of het management weten moet.

C.4 Materialiteit

In de meeste ideale situatie komt de accountant pas in actie als er uitzonderingen zijn. Blijken er op basis van de rapportages uitzonderingen in de data te zitten, dan kan zekerheid worden verkregen door fouten te corrigeren. Bij de uitkomsten wordt een vooraf bepaalde materialiteit gehanteerd, bij zowel financiële als niet financiële informatie. Dit kan ook een marge of percentage zijn, bijvoorbeeld percentage overschrijdingen van de meldplicht. Bij CA is het lastiger om toelaatbare fout in te schatten. Sommige fouten zijn door hun aard niet te kwantificeren. Het kan zijn dat eindgebruiker liever kwartaalverslagen heeft die minder exact zijn dan een jaarverslag zonder fouten, maar ver na balansdatum49.

D. Technologie

De CICA/AICPA onderscheiden twee vormen van CA. De lichte versie is dat de accountant steunt op controlemiddelen die in het systeem zijn ingebouwd door de cliënt zelf. De zwaardere versie is dat de accountant zelf een controlemiddel bouwt en deze ‘op’ het systeem plaatst. De controle op de transactiestromen gebeurt middels geautomatiseerde controles en zogenaamde ‘alarm triggers’, waarbij van te voren bepaald is of controles werken of niet, gebaseerd op vooraf bepaalde indicatoren of afwijkingen in informatie. Alle genoemde modules bevatten applicaties die gebruik maken van een Database Management Systeem (DBMS) verspreid over verschillende databases.

D.1 Volledig domein externe accountant

Binnen de CA worden momenteel drie technieken onderscheiden, namelijk een Embedded Audit Modules (EAM) en Monitoring Control Layers (MCL) en EAM Ghosting, waarbij het verschil vooral in de integratie van de controles zit50. EAM’s worden in het systeem gebouwd, MCL is software dat zelfstandig en onafhankelijk het informatiesysteem bewaakt. Bij EAM Ghosting wordt een kopie van een compleet systeem op andere server bewaard.

EAM’s hebben een aantal beperkingen: ze functioneren niet onafhankelijkheid, het maakt processen langzaam51, en het is lastig om bewijsmateriaal op te slaan. EAM Ghosting heeft als nadeel dat er een tweede informatiesysteem opgetuigd moet worden, wat een hele investering is. De beste oplossing is GRC, dit is software ontwikkeld dat behalve interne controle ook ondersteuning biedt aan governance, risk management en compliance (GRC). Maar deze software is erg duur en is alleen rendabel voor ondernemingen vanaf een bepaalde schaalgrootte. Kortom, een systeem van MCL is het enige alternatief. Er zijn verschillende partijen die zulke software leveren.

De werknemers loggen in op het systeem en hebben toegang tot de databases. Deze databases vormen een databasewarehouse waarin zich het ‘Business Intelligence’ bevindt. Om deze informatie te verkrijgen wordt een OnLine Analytical Processing (OLAP) gebruikt, een architectuur van diverse applicaties. De belangrijkste toepassingen van OLAP zijn

49

Continuous auditing, research report AICPA/CICA, p. 74.

50 _{Continuous Auditing in ERP System Enviroments: the current state and future directions, p.96.} 51

Dit is tegenwoordig steeds beter te ondervangen door het plaatsen van extra geheugen en processors door het steeds sneller en goedkoper worden van hardware.

bedrijfsmatige problemen waarbij records uit gigantische gegevensverzamelingen moeten gehaald en getotaliseerd worden. Het resultaat lijkt vaak op een 3-dimensionale spreadsheet.

Figuur 7: Datastromen binnen CA (eigen afbeelding)

De accountant heeft een MCL nodig, waarmee hij gegevens kan inlezen en analyseren (ETL). Dit is een soort cockpit of dashboard waarop af te lezen is hoe processen lopen. Als een onderneming wil dat gecontroleerd is dat voor elke factuur een PO is ingelegd en de goederen zijn ontvangen (3-way match), dan programmeert zij een regel die dat afstemt. Deze module met controleregels kan live draaien. Als er in de controle een afwijking wordt geconstateerd, geeft MCL een alarm af door middel een e-mail bijvoorbeeld. Dit alarm kan naar de accountant of naar management, afhankelijk van de soort fout. Er zijn verscheidene afbeeldingen van hoe de data ingelezen, geïnterpreteerd en beoordeeld worden. Figuur 7 laat de structuur vereenvoudigd zien.

D.2 CA als onderdeel ERM

Het management van een onderneming is verantwoordelijk voor het aangaan van risico´s en voor het ontwerp en implementatie en onderhoud van interne controle in een organisatie. De accountant toetst het proces van interne controle om zekerheid te verschaffen. Interne controle kan hierbij worden gedefinieerd als:

Het systeem dat het management in staat stelt om de risico’s, die het behalen van

doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen52.

Steeds meer organisaties willen ‘in control’ te zijn, dat wil zeggen: voldoen aan interne doelstellingen, voldoen aan wet- en regelgeving en voorkomen of tijdig ontdekken van fraude. Daarom is het van belang dat de randvoorwaarden voor interne beheersing en de daarbij passende beheersingsmaatregelen juist zijn opgesteld en effectief functioneren. Sinds 2002 is de interne controle binnen organisaties door schandalen als Enron, Ahold

52 _{Interne Beheersing: in control of in de krant? Beschouwing over een crisis, J. Emanuels,} Inauguratierede 2005, gepubliceerd op

evenals door de invoering van de SOx wet steeds belangrijker geworden. Bij deze

organisaties bleek de interne controle c.q. interne beheersing onvoldoende aanwezig of te functioneren, waardoor fraudes mogelijk waren.

Figuur 8: CA moet aansluiten bij Continuous Monitoring

Theoretisch en technisch is het mogelijk om een systeem van CA in te voeren zonder

overeenstemming met de cliënt van de invulling van de controleregels en het systeem los te zien van de interne beheersingsmaatregelen. Maar de controlewerkzaamheden van een accountant zijn er juist zo veel mogelijk op gericht te steunen op de het interne

controlesysteem. Dit is ook verankerd in de NV COS. Daarom kan toepassing van CA het beste samengaan met een vorm van Enterprise Risk Management (ERM) waarbij interne controle real-time plaats vindt. De cliënt kan daarmee bedrijfsrisico´s en de gevolgen daarvan vermijden of verminderen en de accountant kan dan steunen op dit interne

controlesysteem. Figuur 9 laat zien hoe de verantwoordelijkheid van de accountant voor CA en het systeem van doorlopende interne controle – continuous monitoring genoemd - van de cliënt met elkaar samenhangen en elkaar aanvullen. Waar nodig kan de accountant aanvullende controleregels programmeren die nodig zijn voor zijn risico inschatting betreffende de jaarrekeningcontrole.

Een van de meest genoemde modellen voor een systeem van Enterprise Risk Management is COSO II of Enterprise Risk Management Framework (ERMF). COSO, het meest geciteerde raamwerk, is vernoemd naar de commissie die het opgezet heeft, The Committee of

Sponsoring Organizations of the Treadway Commission (COSO). Deze commissie, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal

boekhoudschandalen en fraudegevallen aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van interne controle en interne beheersing. In

2004 werd het model geactualiseerd, werden elementen toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem. Dit raamwerk bestaat uit acht domeinen die elk weer onder te verdelen zijn tweemaal vier onderverdelingen van een organisatie.

Dit raamwerk is bedoeld een interne controle als proces in een organisatie in te bedden en al het personeel van hoog

tot laag daar mede verantwoordelijk voor te maken. Het doel van dit proces is om redelijke zekerheid te verschaffen dat de strategische doelen van de onderneming behaald worden, dat de operationele processen efficiënt en effectief verlopen en dat voldaan wordt aan eisen van financiële verslaggeving en het voldoen aan wet- en regelgeving.

Rezaee e.a. laten aan de hand van vijf domeinen (Interne omgeving, Risico benadering, Informatie en communicatie, Controle maatregelen en Bewaken) middels een

controlematrix (zie pag. 32) zien hoe CA deel kan uitmaken van ERM53. Ook accountants en softwarehuizen die controle software maken, zoeken aansluiting bij dit model. Zo is er software ontwikkeld dat behalve interne controle ook ondersteuning biedt aan governance, risk management en compliance, zogenaamde GRC software.

Elementen COSO Toelichting

Interne omgeving De basis voor een goede interne omgeving is een cultuur en structuur dat ondersteuning biedt aan de geldende wet- men regelgeving.

Vaststellen doelen De onderneming stelt vast welke doelen behaald moeten worden.

Identificeren van gebeurtenissen

Interne en externe gebeurtenissen die kansen en risico’s tot gevolg hebben en een positieve of ne behalen van de doelstellingen.

Risico benadering De onderneming onderkent risico’s, analyseert d e mogelijke effecten en ontwerpt controle maatregelen om deze risico’s te beheersen. De onderneming heeft duidelijke en consistente doelen geformuleerd.

Risico antwoord De onderneming bepaalt welke risico’s acceptabel zijn, welke vermeden moeten worden en welke verminderd.

Controle maatregelen De onderneming documenteert en implementeert richtlijnen en procedures.

Informatie en communicatie

Informatie wordt juist en snel binnen de onderneming uitgewisseld.

Bewaken Het interne controlesysteem wordt geëvalueerd en waar nodig wordt bijgestuurd.

Figuur 9: acht elementen van COSO

2.6 Samenvatting

Het is mogelijk CA is toe te passen binnen de huidige controlestandaarden. Het grootste verschil met de traditionele controle is dat de controles vooraf bepaald worden en in het IT-systeem zijn geprogrammeerd of aan het IT-systeem zijn gekoppeld. Omdat er gebruik wordt gemaakt van geautomatiseerde controles en er gesteund wordt op de techniek is er minder ruimte voor subjectiviteit van het management of de externe accountant. Dit stelt

aanvullende voorwaarden aan het IT-systeem, de gebruikers binnen de organisatie en de controle-aanpak van de externe accountant om te waarborgen dat de gegevens in het IT-systeem juist en volledig zijn en de output zekerheid verschaft.

Om de probleemstelling te kunnen beantwoorden zijn vooraf drie deelvragen geformuleerd. Op basis van de bestudeerde literatuur kunnen de voorwaarden beschreven worden die verplicht aanwezig moeten zijn om CA toe te passen.

53

De volgende voorwaarden moeten aan het IT-systeem gesteld worden: het systeem moet 24 uur per dag operationeel zijn en beveiligd zijn tegen alle bedreigingen die systeem

onbruikbaar kunnen maken. Tegelijkertijd moet het IT-systeem technische mogelijkheden bieden om geprogrammeerde controles in te bouwen en rapporten te genereren en te bewaren als bewijsmateriaal.

De volgende voorwaarden moeten aan de bedrijfsvoering van de onderneming gesteld worden: de bedrijfsprocessen moeten in hoge mate geautomatiseerd zijn en alle registraties moeten via een ERP-pakket lopen. Het management is hier verantwoordelijk voor en moet ervoor zorgen dat het ERP-pakket in de organisatie op de juiste wijze gebruikt wordt. De volgende voorwaarden moeten aan de accountant gesteld worden: hij moet kennis en ervaring hebben met het controleren van ERP-pakketten. Hij moet bereid zijn de controle-aanpak te baseren op de techniek en zijn controlewerkzaamheden meer te spreiden over het te controleren boekjaar.

Hoofdstuk 3 Randvoorwaarden voor grote MKB-ondernemingen

Op basis van de probleemstelling, zoals beschreven in hoofdstuk 1 en de geformuleerde randvoorwaarden in hoofdstuk 2 worden de onderzoekshypothese en de variabelen uitgewerkt als basis voor het onderzoek.

3.1 Onderzoeksdoel

De onderzoeksdoelstelling is of het mogelijk is CA te implementeren in het interne en externe controleproces van een grote MKB-onderneming voor controle van de jaarrekening.

3.2 Definitie grote MKB-onderneming

Kan CA toegepast worden bij MKB-ondernemingen? Daarvoor moet eerst bepaald worden wat een MKB-onderneming is. MKB is een in Nederland gebruikte afkorting voor Midden- en Kleinbedrijf. Met MKB bedoelt men in het algemeen ondernemingen tot 250 werknemers, maar heeft gedefinieerde kenmerken. Het MKB wordt vaak gedefinieerd vanuit twee perspectieven, namelijk de kwantitatieve en kwalitatieve benadering. In 2005 heeft de Europese Commissie de definitie van Midden- en Kleinbedrijf ("MKB") vastgelegd overeenkomstig onderstaande tabel54:

Categorie Werknemers Omzet Balanstotaal

middelgroot < 250 < € 50 mln. < € 43 mln.

klein < 50 < € 10 mln. <€ 10 mln.

micro < 10 < € 2 mln. < € 2 mln.

Figuur 10: categorieën binnen MKB

MKB beslaat 99% van alle ondernemingen in Nederland, daarom wordt deze categorie verder afgebakend. Onder een grote MKB-onderneming wordt in dit onderzoek een

‘middelgrote’ MKB-onderneming bedoeld, de hoogste categorie, waarvoor bovengenoemde criteria als boven- en ondergrens gelden. Deze categorie valt deels binnen de hoogste categorie ‘groot’ van BW 255, waarvoor geen bovengrens gedefinieerd is. Een grote MKB-onderneming is dus controleplichtig en staat daarmee open voor toepassing van CA. Vanuit het kwalitatieve perspectief is het MKB globaal te definiëren als een onderneming met een klein marktaandeel, persoonlijke communicatie en onafhankelijk. Een MKB-onderneming verschilt behalve omzet, balanstotaal en aantal werknemers ook in andere opzichten van beursgenoteerde ondernemingen. Onder beursgenoteerd worden alle

ondernemingen verstaan die aan een beurs genoteerd zijn, dus niet alleen de AEX, maar ook kleinere beursgenoteerde ondernemingen (Midkap) en ondernemingen genoteerd aan buitenlandse indices. Enkele kenmerken waarin zij verschillen worden in onderstaand schema weergegeven56. Dit zijn ‘typische’ kenmerken, onderling zijn er veel verschillen.

54

http://nl.wikipedia.org/wiki/Midden-_en_Kleinbedrijf. De buitenlandse term die voor MKB gebruikt wordt is SME, Small and Medium Enterprises, beschikbaar 4 april 2011.

55

BW 2 kent eveneens drie categorieën: klein, middelgroot, groot. Hoewel de criteria overlap vertonen met de categorieën binnen het MKB, is de verschillende benaming enigszins verwarrend. 56

Voor analyse van de verschillen zie bijvoorbeeld Corporate Governance bij niet-beursgenoteerde ondernemingen, Stefan P. Timmer, afstudeerscriptie tot RA, UvA september 2009.